⏺Как анализировать безопасность контейнерных сред и приложений?

Современные контейнерные технологии стали неотъемлемой частью IT-инфраструктуры компаний разного масштаба — от стартапов до крупных корпораций. Контейнеры обеспечивают высокую гибкость, масштабируемость и удобство управления приложениями, однако вместе с этими преимуществами возникают новые угрозы информационной безопасности.

Например, риски, связанные с уязвимостями в образах контейнеров, неправильной конфигурацией сетевых настроек и доступом к чувствительной информации внутри контейнеров. Это требует от компаний внедрения новых стратегий защиты и мониторинга, чтобы минимизировать потенциальную опасность и обеспечить безопасность своих систем.

Одной из систем анализа защищенности контейнеров является программный комплекс Efros Defence Operations. Он является модульным продуктом, который состоит из шести функциональных подсистем; в их числе модуль Integrity Check Compliance, включающий в себя функциональность по анализу защищенности контейнеров и оркестраторов.

🗣Юлия Парфенова, помощник менеджера продукта Efros DefOps, и Иван Мартынов, главный специалист отдела разработки программных продуктов, в материале для Cyber Media поделились, на какие ключевые проблемы в эксплуатации контейнеров обратить внимание и как Efros помогает справляться с ними в крупной инфраструктуре.

#gis_полезности #efros_defops

⚠️ Исследователями обнаружена техника атаки, при которой киберпреступники используют бесплатные пробные версии программного обеспечения, получившая название «EDR-on-EDR violence». Как пояснил наш эксперт Андрей Жданухин, эта схема использует сами средства защиты против их назначения.

Суть техники заключается в следующем: хакеры регистрируются на бесплатный пробный период какого-либо EDR, устанавливают его на целевую систему с правами администратора и настраивают так, чтобы он блокировал или удалял уже установленный легитимный EDR, например CrowdStrike. При этом часто не срабатывает никакая защита, установленные агенты прекращают работу и теряют связь с SOC, что создаёт иллюзию нормального статуса системы (offline).

«Это демонстрирует, что слепое доверие к стандартным EDR/XDR-платформам может обернуться серьёзной уязвимостью для организаций, особенно когда локальные админ-права позволяют злоумышленнику манипулировать поведением средств безопасности», — подчеркнул наш эксперт.

GSOC предлагает принципиально иной уровень защиты:

1️⃣ SOC моделирует сценарии «борьбы EDR с EDR»: анализируются нестандартные установки новых защитных продуктов, неожиданные исключения или блокировки известных агентов, а также резкое падение телеметрии с рабочих станций.

2️⃣ Посредством правил корреляции выявляются установки EDR‑агентов, особенно если они запускаются несогласованно с IT‑направлением организации. При обнаружении подозрительной активности — будь то запуск неизвестного установщика, изменение настроек уже установленного EDR или отключение агента, GSOC инициирует изоляцию устройства, уведомляет ответственных и запускает процесс реагирования.

«Таким образом, — заключил эксперт, — даже если злоумышленник попытался использовать легитимный инструмент безопасности в своих целях, GSOC способен перехватить сценарий ещё до того, как вредоносная активность выйдет из-под контроля».

#gis_новости #gsoc

«Биржа ИБ- и IT-стартапов»: объявлен состав экспертного совета ⏰

Организаторы конкурса сделали акцент на информационной безопасности, что отразилось и на подборе экспертов. В совет вошли ведущие эксперты в области информационной безопасности и IT. Эксперты будут оценивать проекты по таким критериям, как инновационность, техническая реализация, рыночный потенциал и соответствие требованиям конкурса. Полный состав экспертного совета доступен по ссылке.

🗣Его возглавил Николай Нашивочников, заместитель генерального директора – технический директор компании «Газинформсервис» и один из идейных вдохновителей проекта.

Основные задачи экспертного совета:
⏺оценка заявок участников на соответствие критериям конкурса,
⏺выбор финалистов,
⏺и консультирование стартапов по вопросам развития и масштабирования.

Напомним, что приём заявок на участие в конкурсе продлится до 28 августа. Участникам необходимо представить прототип или минимально жизнеспособный продукт (MVP) в сфере IT или информационной безопасности. Финалисты получат возможность презентовать свой проект на форуме GIS DAYS 2025.
#gis_стартапы

⏺Уязвимости CVE-2025-23319, CVE-2025-23320 и CVE-2025-23334, обнаруженные в NVIDIA Triton Inference Server, одном из ведущих инструментов для развёртывания моделей машинного обучения, представляют серьёзную угрозу AI-инфраструктуре компаний. Уязвимость может создать риски для организаций, использующих ИИ-решения.

🗣Как пояснил Андрей Жданухин, руководитель группы аналитики L1 GSOC, обнаруженные уязвимости позволяют злоумышленнику без какой-либо аутентификации через уязвимый API записывать произвольные файлы на сервере. Это, в свою очередь, открывает путь к потенциальному выполнению произвольного кода. Ошибки в логике обработки параметров shared memory могут привести к отказу в обслуживании (DoS) или даже повреждению данных.

«Особенно тревожен тот факт, что уязвимость доступна через публично задокументированные интерфейсы, а значит угроза может быть использована в атаках на продуктивные AI‑сервисы в облаке и на локальных кластерах. По оценке исследователей, проблема затрагивает как модельные среды, так и корпоративные ML-вычислительные пайплайны, поэтому обновление до версии 25.07 или выше является критически важной мерой защиты».

В условиях растущей сложности киберугроз эксперт настоятельно рекомендует организациям, активно использующим ML/AI-инфраструктуру, внедрять комплексные подходы MlSecOps на всех этапах жизненного цикла модели — от разработки до эксплуатации.

«Это предполагает постоянную проверку безопасности компонентов, отслеживание аномалий в API-запросах, анализ прав доступа к ML-инстансам, а также контроль целостности и безопасного развёртывания моделей. Кроме того, SOC отслеживает признаки эксплуатации известных CVE в публичных и внутренних средах, включая активность на уязвимых API и загрузку подозрительных бинарных объектов. В сочетании с системами мониторинга и проактивного реагирования это позволяет сократить окно уязвимости и повысить устойчивость ML-инфраструктуры к целенаправленным атакам», — подытожил эксперт.

#gis_новости #gsoc

⚠️ Исследователь безопасности обнаружил, что стандартное поле для ввода адреса электронной почты на сайте может стать критической уязвимостью, позволив злоумышленникам не только подделать отправителя, но и получить доступ к чужой переписке. Эта уязвимость, позволяющая обойти стандартные проверки формата, открывает путь к манипуляциям с конфиденциальными данными и даже полному захвату аккаунтов.

🗣По словам Анастасии Дьяченко, эксперта компании «Газинформсервис», обычное поле ввода адреса электронной почты на сайте может стать «приоткрытой дверью» для хакеров из-за недостаточной защиты системы обработки электронных писем.

«Многие сайты проверяют адрес email только на правильность формата, но не фильтруют на возможное наличие в поле ввода вредоносного кода».

Недавнее исследование наглядно продемонстрировало, как недостаточно защищённое поле для ввода адреса электронной почты стало причиной уязвимости, за которую автор получил вознаграждение в $500.

«Из-за ошибок в обеспечении безопасности, допущенных специалистами по защите данных, злоумышленники могут получить доступ к приватным данным, перехватить конфиденциальную информацию или полностью завладеть аккаунтами».

Бизнесу важно непрерывное обнаружение компьютерных атак и реагирование на них в режиме 24/7 — его можно проводить силами центра мониторинга и реагирования GSOC.

#gis_новости #gsoc

❗️❗️❗️❗️ Крупная кибератака, предположительно совершённая хакерской группой UNC3886, связанной с Китаем, ставит под угрозу критически важные объекты Сингапура. Целями злоумышленников стали энергетические сети, системы водоснабжения и платёжные системы страны.

Атаки на критическую инфраструктуру Сингапура демонстрируют глобальный характер угроз и актуальность проблемы защиты промышленных систем управления (АСУ ТП). Методы, используемые UNC3886, могут быть применены и против российских объектов.

«UNC3886 уже ломает критическую инфраструктуру Сингапура, эксплуатируя zero-day в Fortinet, VMware ESXi и Juniper, чтобы закрепиться в энергосетях, водоканалах и платёжных системах, о чём прямо предупреждает OT-ISAC и сингапурские власти», — отметил Михаил Спицын, инженер-аналитик компании «Газинформсервис».

APT-группа UNC3886 использует тактику zero-day-уязвимостей в распространённых продуктах, таких как Fortinet, VMware ESXi и Juniper. Эксплуатируя эти уязвимости, хакеры получают доступ к системам управления критической инфраструктурой, что представляет собой прямую угрозу национальной безопасности.

«Чтобы закрыть такой вектор ещё на уровне физического порта, достаточно посмотреть, что умеет Efros Defence Operations, а именно модуль NAC. Он централизует RADIUS-аутентификацию и профилирование устройств, отсекая всё, что не прошло 802.1X или не соответствует политике безопасности. Движок Efros умеет блокировать MAC-spoofing, сопоставляя OUI вендора и "отпечаток" стека. Если злоумышленник перегрузит свич с подменённым адресом, порт сразу уйдёт в карантинную VLAN. Вот так, при попытке использовать свежий 0-day атакующий ещё до установки бэкдора не получит доступа ни к гипервизорам ESXi, ни к управляющим PLC-сетям».

#gis_новости #efros_defops

Эксклюзивное интервью: как готовить кибергероев будущего❓

Сегодня у нас особенный гость — Александр Менщиков, к.т.н., доцент, декан факультета безопасности информационных технологий ИТМО и директор учебно-практического центра «Киберполигон». 🎓🔐

В этом интервью вы узнаете:
⏺почему традиционное обучение уже не достаточно эффективно и как важны практические занятия в реальных условиях,
⏺как геймофикация помогает сделать обучение интересным и эффективным,
⏺и почему информационная безопасность так похожа на медицину (да-да, это правда!).

🗓 Смотрите интервью и присоединяйтесь к GIS DAYS 2025!
Это уникальная возможность увидеть, как передовые технологии и инновационные методы формируют будущее кибербезопасности.
#gis_days

⚠️ Исследователи обнаружили сложный метод обхода защиты брандмауэра веб-приложения (WAF) с помощью методов загрязнения параметров HTTP в сочетании с внедрением JavaScript. Это вновь поднимает актуальный вопрос о надежности и грамотной настройке средств кибербезопасности. Эта уязвимость подчеркивает, что даже передовые защитные механизмы требуют постоянного внимания и профессионального подхода.

Выявлено, что определенные типы атак могут успешно обходить стандартные фильтры WAF, предназначенные для защиты веб-приложений от распространенных угроз, таких как SQL-инъекции или межсайтовый скриптинг (XSS). Это стало возможным благодаря вариативности и изощрённости современных методов атак, которые научились маскировать вредоносные запросы таким образом, чтобы они не попадали под известные сигнатуры WAF.

«Обход WAF — это всегда тревожная ситуация, — отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», — Многие, даже опытные специалисты по ИБ рассчитывают, что если в инфраструктуре установлено средство, закрывающее какую-то угрозу, то оно работает, как задумано, и хотя бы одной головной болью у вас меньше. Но в реальности это совсем не так. Большинство современных атак имеют довольно серьёзную вариативность, и простое развёртывание того же WAF, EDR или IPS ничего не даёт, если не настроить их грамотно и не поддерживать в актуальном состоянии правила обнаружения атак.

Поэтому многие компании и начинают обращаться к системным интеграторам и подключают свои ИТ-системы к SOC. Держать у себя специалистов, готовых всем этим заниматься на должном уровне, довольно сложно — это дорого, и их сложно мотивировать, а вот отдать эту задачу на аутсорс в тот же GSOC, где эксперты занимаются подобным каждый день, — рациональное решение».

#gis_новости #gsoc

✅Удобное мобильное приложение — плюс для бизнеса.
❌Уязвимое мобильное приложение — риск для бизнеса: технический и репутационный.

Что нужно понимать про мобильные уязвимости?
- часто ошибки закладываются ещё на этапе проектирования (архитектура, права доступа, работа с API);
- утечки могут происходить даже через push-уведомления, логи, кэш или библиотеки;
- многие компании до сих пор не тестируют приложения на безопасность перед релизом.

Что делать, если у вас своё приложение или вы за него отвечаете:
- проверьте, как приложение хранит и передаёт данные;
- убедитесь, что сторонние SDK, библиотеки обновлены — часто атака начинается именно с них;
- закажите мобильный аудит у специалистов;
- настройте процесс безопасной разработки.

Надёжность — конкурентное преимущество и маркер доверия в глазах пользователя: следите за безопасностью с начала проекта.
#gis_полезности

⏺🔐 Научный прорыв, который ещё вчера казался фантастикой, сегодня становится реальностью. Исследователи представили технологию «сборки» тараканов-киборгов, оснащённых миниатюрными электронными имплантами и управляемых с помощью искусственного интеллекта.

🗣Руководитель GSOC компании «Газинформсервис» Александр Михайлов рассказал, что эта разработка, превращающая обычных насекомых в кибернетических разведчиков, выводит концепцию Интернета вещей (IoT) на новый уровень:

«Новость звучит как прямой репортаж из будущего, которое наступило незаметно. Превращение живых существ в управляемые гибриды выводит концепцию Интернета вещей на совершенно новый, биокибернетический уровень, и это обязательно повлечёт последствия для сферы информационной безопасности».

Управление этими «киборгами» осуществляется с помощью миниатюрных электродов, вживлённых в зону стимуляции насекомого роботом UR3e, оснащённым системой компьютерного зрения. Четыре таких гибрида обследуют сложную территорию в разы быстрее одиночек. Беспроводная связь Sub-1 ГГц позволяет рою таких тараканов действовать слаженно, выполняя задачи гораздо быстрее и эффективнее, чем любое одиночное устройство.

Грузовой резерв тараканов позволяет оснащать их дополнительным оборудованием, таким как камеры, микрофоны и навигационные датчики, превращая их в дешёвых и мобильных разведчиков, способных проникать в самые труднодоступные места.

«Мы вступаем в эпоху, где периметр безопасности расширяется и включает в себя живые организмы, потому что, помимо разведывательных функций, сам по себе такой гибрид является устройством, которое может быть взломано. Если раньше угрозы были нацелены на серверы и смартфоны, то теперь потенциальным вектором атаки становится беспроводной канал управления роем насекомых.

Представьте себе последствия несанкционированного перехвата контроля над таким роем. Оснащённые микрокамерами или микрофонами, эти киборги превращаются в практически незаметных шпионов, способных проникнуть в охраняемые зоны, недоступные для обычных дронов», — заключил эксперт.

#gis_новости

⏺Сертифицированные межсетевые экраны — обязательный элемент защиты КИИ и ГИС, но не гарантия безопасности. Даже решения, формально соответствующие требованиям ФСТЭК, могут содержать уязвимости на уровне ОС или «доверенного» железа. Необходимо грамотно выстроить архитектуру, предусмотреть риски компрометации и исключить типовые ошибки.

Межсетевые экраны — это базовые средства защиты периметра. Они фильтруют трафик между сегментами сети и предотвращают несанкционированный доступ. В контуре КИИ и государственных информационных систем межсетевой экран становится не просто технической мерой, а регламентированной обязанностью.

При этом использовать можно только сертифицированные МЭ, то есть прошедшие аттестацию в ФСТЭК. Но сертифицированный МЭ — не магический щит. Он отлично справляется с фильтрацией трафика, но если под капотом все плохо — не спасет.

🗣Марат Хакимьянов, ведущий инженер компании «Газинформсервис»:

Сегментация сети сильно поможет в защите от НСД, поскольку злоумышленник не сможет пройти в другие сегменты и развить успех. Если же мы говорим не просто о МЭ, а об NGFW, модуль IPS вполне сможет выявить часть подозрительных действий. Сканирование сети, множественный брутфорс УЗ — и МЭ распознает эти действия как атаку. Конечно, NGFW сильно ограничен своим расположением, и для более эффективного анализа лучше также применять решения класса NTA/NDR.

Если говорить об унифицированных практиках защиты, то, конечно, в первую очередь в голову приходит концепция Zero Trust. Она включает в себя совместное использование множества средств защиты, а главный ее принцип «Запрещено все, что не разрешено».

Межсетевой экран — один из ключевых компонентов Zero Trust, который включает следующие функции:
⏺Микросегментация сети. У администраторов должна быть возможность гранулярно управлять доступом в сети.
⏺Непрерывный сетевой мониторинг. Все подозрительные действия пользователей, если они выходят за пределы своей подсети, должны проверяться по базе сигнатур IPS на соответствие атакам. Также у многих NGFW есть собственные модули для поведенческого анализа трафика.
⏺Принцип минимальных привилегий. У пользователя должны быть доступы только к тем сегментам, которые нужны ему сейчас для работы. Во всех остальных случаях идем по алгоритму: заведение заявки на доступ -> рассмотрение админами МЭ -> написание временного (!) правила МЭ.

Подробнее о том, как выстроить устойчивую защиту на базе сертифицированных МЭ, но с учетом реальных рисков, архитектурных нюансов и уязвимостей в доверенной среде, — в этой статье.
#gis_полезности

Вышел новый выпуск information Security, в котором можно найти сразу две статьи с нашими экспертами:

🗣Корреспонденты журнала “Информационная безопасность" побеседовали с Лидией Витковой, к.т.н., начальником Аналитического центра кибербезопасности (АЦКБ) компании “Газинформсервис”, и Яной Заковряжиной, менеджером продукта Ankey ASAP, о том, как UEBA усиливает DLP там, где правила молчат. Страница 26 (28).

🗣А также, Ирина Дмитриева, аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», и Михаил Спицын, инженер-аналитик компании «Газинформсервис», среди экспертов в статье "DLP в 2025 году: новые вызовы зрелости" на странице 36 (38).

Подробнее здесь.
#gis_полезности